ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ

от 20 июня 2024 года №185

Об утверждении стандартов финансовых услуг и технологий

На основании абзаца пятьдесят седьмого статьи 26 и части первой статьи 39 Банковского кодекса Республики Беларусь Правление Национального банка Республики Беларусь ПОСТАНОВЛЯЕТ:

1. Утвердить:

стандарт финансовых услуг и технологий СФУТ 9.01-2024 "Банковская деятельность. Обеспечение информационной безопасности. Общие положения и терминология" (прилагается);

стандарт финансовых услуг и технологий СФУТ 9.02-2024 "Банковская деятельность. Обеспечение информационной безопасности. Требования к документации по обеспечению деятельности в области информационной безопасности" (прилагается).

2. Настоящее постановление вступает в силу с 1 октября 2024 г.

Утвержден Постановлением Правления Национального банка Республики Беларусь от 20 июня 2024 года №185

Стандарт финансовых услуг и технологий СФУТ 9.01-2024 "Банковская деятельность. Обеспечение информационной безопасности. Общие положения и терминология"

Глава 1. Общие положения

1. Настоящий стандарт финансовых услуг и технологий (далее – стандарт) устанавливает общие положения и концептуальную схему обеспечения информационной безопасности (далее – ИБ) банков, небанковских кредитно-финансовых организаций и открытого акционерного общества "Банк развития Республики Беларусь" (далее – банки).

2. Настоящий стандарт применяется при построении, проверке и оценке систем ИБ и систем менеджмента ИБ банка.

3. При применении настоящего стандарта необходимо соблюдать требования банковского законодательства, законодательства об информации, информатизации и защите информации, об электронных документах и электронной цифровой подписи, о персональных данных, в том числе:

Положения о технической и криптографической защите информации, утвержденного Указом Президента Республики Беларусь от 16 апреля 2013 г. №196;

приказа Оперативно-аналитического центра при Президенте Республики Беларусь от 8 февраля 2019 г. №45 "О дополнительных мерах по реализации Закона Республики Беларусь от 28 декабря 2009 г. №113-З "Об электронном документе и электронной цифровой подписи";

приказа Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. №66 "О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. №449".

4. Для целей настоящего стандарта термины имеют следующие значения:

автоматизированная банковская система (далее – АБС) – автоматизированная система, реализующая банковский технологический процесс или его часть;

автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных для данной системы функций;

авторизация – предоставление работникам банка, клиентам прав доступа к объекту. К объектам относятся аппаратные, программные и программно-аппаратные средства, информационный ресурс, процесс, система, над которыми выполняются действия;

актив – ресурсы банка*, информационные активы**, банковские процессы***, банковские продукты и услуги, предоставляемые клиентам, имеющие ценность для банка и находящиеся в его распоряжении;

______________________________

* Финансовые, вычислительные (аппаратные и программные), телекоммуникационные ресурсы, люди и их квалификация, навыки, опыт и другие ресурсы банка.

** Различные виды банковской информации (платежная, финансово-аналитическая, служебная, управляющая и др.) на всех стадиях жизненного цикла информационных активов (генерация (создание), обработка, хранение, передача, уничтожение).

*** Банковские платежные технологические и банковские информационные технологические процессы, процессы жизненного цикла АБС и другие банковские процессы.

атака – попытка разрушения, умышленного раскрытия, изменения, блокировки, кражи актива, получения незаконного доступа к нему или его несанкционированного использования;

аудит ИБ – системный документированный процесс получения объективных качественных и количественных оценок о текущем состоянии ИБ в банке в соответствии с определенными критериями и показателями безопасности;

банковский информационный технологический процесс – часть банковского технологического процесса, реализующая действия с информацией, необходимые для выполнения банком своих функций;

банковский платежный технологический процесс – часть банковского технологического процесса, реализующая действия с информацией, связанные с осуществлением переводов денежных средств, клиринга и расчета, и действия с архивами указанной информации;

банковский технологический процесс – технологический процесс, реализующий операции по изменению и (или) определению состояния активов банка, используемых при функционировании или необходимых для предоставления банковских услуг;

безопасность – состояние защищенности интересов (целей) банка в условиях угроз;

данные – совокупность сведений, зафиксированных на определенном носителе в форме, пригодной для постоянного хранения, передачи и обработки;

допустимый риск ИБ – риск ИБ (предполагаемый ущерб), который банк в данное время и в данной ситуации готов принять;

доступность информационных активов – свойство ИБ, которое заключается в предоставлении информационных активов пользователю, прошедшему авторизацию, в виде, месте и во время, необходимые данному пользователю;

жизненный цикл АБС – непрерывный временной интервал, начинающийся с момента принятия решения о необходимости создания системы и заканчивающийся в момент ее полного изъятия из эксплуатации;

защитная мера – сложившаяся практика, процедура или механизм, которые используются для уменьшения риска ИБ банка;

защищаемая информация – любая информация, распространение и (или) предоставление которой ограничено;

информационный актив – информация, имеющая ценность для ее владельца (собственника);

инфраструктура – комплекс взаимосвязанных структур, составляющих основу для решения проблемы (задачи);

инцидент ИБ – событие или комбинация событий, указывающие на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ;

классификация информационных активов – распределение существующих информационных активов банка по типам, выполняемое в соответствии со степенью тяжести последствий от потери ими значимых свойств ИБ;

клиент – юридическое или физическое лицо, пользующиеся услугами банка;

конфиденциальность информационных активов – свойство ИБ, которое заключается в том, что обработка, хранение и передача информационных активов доступны только пользователям, прошедшим авторизацию, объектам системы или процессам;

менеджмент – скоординированная деятельность по руководству и управлению;